首页 > 清静研究 > 清静转达 > 清静通告

PHP-Fusion远程代码执行误差清静通告

宣布时间 2019-05-22

误差编号和级别

CVE编号：CVE-2019-12099，，，，，危险级别：高级，，，，，CVSS分值：8.8

影响版本

受影响的版本

PHP-Fusion 9.03.00

误差概述

PHP-Fusion是一个轻量级开源内容治理系统。。。。。。它接纳mySQL数据库存储网站内容并提供一个简朴，，，，，周全的后台治理系统。。。。。。PHP-Fusion包括大大都CMS系统所具有的功效。。。。。。简约而不简朴。。。。。。

在php fusion 9.03.00中，，，，，edit_profile.php允许远程经由身份验证的用户执行恣意代码，，，，，由于includes/dynamics/includes/form_fileinput.php和includes/classes/phpfusion/installer/lib/core.settings.inc在上传avatar时代过失处置惩罚了可执行文件。。。。。。

误差验证

EXP：https://www.exploit-db.com/exploits/46839。。。。。。

修复建议

现在厂商已宣布升级补丁以修复误差，，，，，补丁获取链接：https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6。。。。。。

参考链接

https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6
https://www.pentest.com.tr/exploits/PHP-Fusion-9-03-00-Edit-Profile-Remote-
Code-Execution.html
https://www.exploit-db.com/exploits/46839

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

PHP-Fusion远程代码执行误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线